BANDBREDDSREDOVISNING : Sammansättning av bandbreddsövervakningslösning för företagsmiljö / BANDWIDTH ACCOUNTING : Composition of bandwidth monitoring solution for business environment

Lindberg, Daniel, Olsson, Kristoffer

January 2017

Företaget Hi5 är i behov av en lösning som kan övervaka bandbreddsanvändningen till ochfrån deras verksamhet. Denna lösning ska kunna mäta använd trafik per IP över tid.Företaget vill ha denna lösning för att i framtiden kunna ha möjligheten att, med data somunderlag, debitera kunder som passerar en avtalad gräns för bandbreddsanvändning.Lösningen ska även ge Hi5 en överblick över all trafik till och från företaget.Denna rapport beskriver sammansättningen av en sådan lösning med hjälp av färdigatjänster och verktyg. Lösningen består av fyra moduler: pmacct, pmacct-to-elasticsearch,Elasticsearch och Grafana. ● Pmacct agerar insamlingsdel som fångar och aggregerar trafikdata.● Pmacct-to-elasticsearch fungerar som en brygga och flyttar data från pmacct till Elasticsearch.● Elasticsearch är backend-delen i lösningen som lagrar och organiserar data iindexfiler.● Grafana, frontend-delen, hämtar data från Elasticsearch och visualiserar denna iform av grafer och tabeller. Resultatet av arbetet är att Hi5 fick en lösning som uppfyllde deras önskemål, där kundersbandbreddsanvändning kan mätas och presenteras i ett användarvänligt gränssnitt. / The company Hi5 is in need of a solution that can monitor the bandwidth usage to and from their operations. This solution should be able to measure used traffic per IP over time. The company wants this solution in order to be able to, in the future, have the data needed available to charge customers who exceeds an agreed upon bandwidth limit. The solution should also give Hi5 an overview of all traffic from and to the company.This report describes the composition of such a solution using completed services and tools. The solution consists of four modules: pmacct, pmacct-to-elasticsearch, Elasticsearch and Grafana. ● Pmacct acts as the collector that catches and aggregates traffic data.● Pmacct-to-elasticsearch works as a bridge and moves the data from pmacct to Elasticsearch.● Elasticsearch is the backend part of the solution that stores and organizes the data in index files.● Grafana, the frontend, collects the data from Elasticsearch and visualizes it in the form of graphs and tables. The result of the project is that Hi5 got a solution that fulfilled their wishes, where customer’s bandwidth usage can be measured and presented in a user-friendly interface.

bandwidth accounting

pmacct

elasticsearch

grafana

bandbreddsövervakning

bandbreddsredovisning

Communication Systems

Kommunikationssystem

Implementation of data-collection tools using NetFlow for statistical analysis at the ISP level / Implementation av datainsamlingsverktyg med NetFlow på ISP-nivå för statistisk analys av datatrafik

Karlström, Daniel

January 2012

Defending against Dos- and DDoS attacks is difficult to accomplish; finding and filtering out illegitimate traffic from the legitimate flow is near impossible. Taking steps to mitigate or even block the traffic can only be done once the IP addresses of the attackers are known. This is achievable by monitoring the flows to- and from the target and identifying the attacker's IP addresses, allowing the company or their ISP to block the addresses itself by blackholing them (also known as a null route). Using the IP accounting and monitoring tool “pmacct”, this thesis aims to investigate whether or not the pmacct suite is suited for larger installations when tracking and mitigating DDoS-attacks, such at an Internet Service Provider (ISP). Potential problems are the amount of traffic that need to be analyzed and the computational power required to do it. This thesis also provide information about the pmacct suite at large. The conclusions are positive, indicating it does scale up to handle larger installations when given careful consideration and planning. / Att försvara sig mot DoS-och DDoS-attacker är svårt att åstadkomma; att hitta och filtrera ut illegitim trafik från det legitima flödet är nästan omöjligt. Att vidta åtgärder när en sådan attack upptäcks kan endast göras när IP-adresserna från angriparna är kända. Detta kan uppnås genom att man övervakar trafikflödet mellan målet för attacken och angriparna och ser vilka som sänder mest data och på så sätt identifierar angriparna.. Detta tillåter företaget eller dess ISP att blockera trafiken ifrån dessa IP-adresser genom att sända trafiken vidare till ingenstans. Detta kallas blackhole-routing eller null-routing. Genom att använda redovisnings- och övervakningsprogrammet pmacct syftar denna uppsats på att undersöka hurvida pmacct-sviten är lämpad för större installationer när det gäller att spåra och förhindra DDoS-attacker, såsom hos en Internetleverantör eller dylikt. Potentialla problem som kan uppstå är att mängden trafik som måste analyserar blir för stor och för krävande. Denna avhandling går även igenom pmacct-verktyget i sig. Slutsatserna är lovande, vilket indikerar att den har potential av att kunna hantera sådana stora miljöer med noggrann planering.

pmacct

statistical analysis

bgp

peer

peering

routing

route

quagga

virtual router

virtual

router

linux

graph

graphing

mrtg

database

mysql

script

scripting

python

bash

libpcap

mdh

data collection

data

collection

collecting

ISP

internet service provider

DoS

DDoS

attack

pmacct

statistisk analys

bgp

peer

peering

peera

routing

route

quagga

virtuell router

virtuell

router

linux

graf

grafa

mrtg

databas

mysql

script

scripting

python

bash

libpcap

mdh

datainsamling

insamling

data

ISP

internetleverantör

DoS

DDoS

attack

Computer Engineering

Datorteknik